С момента публикации эксплоита для уязвимости CVE-2018-14847 в маршрутизаторах MikroTik злоумышленники активно проводят кампании, направленные на уязвимые устройства. В настоящее время тысячи непропатченных устройств эксплуатируются в целях добычи криптовалюты. Хотя производитель выпустил корректирующий патч в апреле нынешнего года, многие пользователи все еще не обновили свои маршрутизаторы, чем и пользуются киберпреступники.

Специалист Трой Марш (Troy Mursch), занимающийся отслеживанием активности ботнетов, выявил новую майнинговую операцию, в ходе которой киберпреступники создают «WebSocket туннель к браузерному скрипту для добычи криптовалюты». По словам Марша, вредонос увеличивает активность процессора инфицированного маршрутизатора на 80% и поддерживает ее на данном уровне. Таким образом наряду с майнингом могут выполняться и другие процессы, не вызывая подозрения владельца устройства.

Определить точное число уязвимых маршрутизаторов не представляется возможным, поскольку «они каждую минуту переходят из рук в руки, как и в случае с другими ботнетами», пояснил эксперт в беседе с журналистом ресурса Bleeping Computer. На момент написания новости количество зараженных маршрутизаторов превысило 3,8 тыс. Большинство скомпрометированных устройств находится в Южной Америке, в основном в Бразилии (2 612) и Аргентине (480).

В минувшем месяце специалисты подразделения SpiderLabs компании Trustwave зафиксировали еще одну майнинговую операцию, затронувшую 72 тыс. маршрутизаторов MikroTik, а в начале сентября похожую кампанию заметили эксперты Qihoo 360.

Источник: securitylab.ru